Detección de DangerousSavanna: Ataques Dirigidos a Diversas Organizaciones Financieras Revelados
Tabla de contenidos:
Los analistas de seguridad revelaron una campaña de spear-phishing de dos años dirigida a entidades del sector financiero en países africanos de habla francesa: Marruecos, Togo, Costa de Marfil, Camerún y Senegal. La campaña recibe el nombre en clave de DangerousSavanna, y sus operadores confían en gran medida en técnicas de ingeniería social para el acceso inicial, empleando consecuentemente malware personalizado, como AsyncRAT, PoshC2, y Metasploit.
El modus operandi de los adversarios implica que la ganancia financiera es la principal motivación para esta serie de ataques.
Detectar DangerousSavanna
Las tácticas y técnicas de los hackers criminales continúan evolucionando, desarrollando métodos más sofisticados para atrapar a las organizaciones de todo el mundo. El equipo de ingenieros de caza de amenazas de SOC Prime ha adoptado una metodología de seguimiento continuo para garantizar la entrega oportuna de contenido de detección verificado, ayudando a los expertos en seguridad a optimizar su rutina proactiva de defensa cibernética. La siguiente regla basada en Sigma lanzada por el Threat Bounty desarrollador Kyaw Pyiyt Htet detecta rastros de violaciones características de los ataques de la operación DangerousSavanna:
La regla se puede aplicar en 26 soluciones SIEM, EDR y XDR soportadas por la plataforma de SOC Prime. Para asegurar una mayor visibilidad de las amenazas relacionadas, la detección se alinea con el marco de MITRE ATT&CK®. Utilizar reglas Sigma basadas en comportamiento y etiquetadas con técnicas, sub-técnicas y herramientas de ATT&CK , es un enfoque probado para mejorar la postura de seguridad. Acceda a una rica biblioteca de contenido de detección respaldada por la excelente experiencia de más de 600 investigadores y cazadores de amenazas del Threat Bounty Program, quienes contribuyen activamente con su propio contenido de detección a la Plataforma SOC Prime mientras reciben recompensas recurrentes por su aporte. Presione el botón Explore Detections para recorrer un repositorio que alberga más de 200,000 piezas de detección enriquecidas con contexto.
Análisis de DangerousSavanna
Check Point Research (CPR) publicó los resultados de una investigación en profundidad sobre la campaña maliciosa de larga duración que compromete a organizaciones del sector financiero ubicadas en varios países de África Central y Occidental el 6 de septiembre de 2022. Los analistas de seguridad detallaron los enfoques de los adversarios, incluyendo el uso de tácticas de ingeniería social para obtener acceso ilícito a los dispositivos y redes de las víctimas. Los actores de amenazas usaron dominios que los ayudaron a parecer legítimos, haciéndose pasar por empresas financieras para atraer a las víctimas. Los adversarios bombardearon a sus objetivos con correos electrónicos de phishing enviados a través de servicios de Gmail y Hotmail con archivos adjuntos armados ofrecidos para descarga. Estos archivos adjuntos eran documentos de varios tipos, incluyendo herramientas basadas en .NET disfrazadas como archivos PDF. Los investigadores informan que los actores de amenazas detrás de esta campaña son particularmente persistentes, probando diferentes vectores de ataque para infiltrarse en los sistemas de las víctimas. En el momento de escribir este artículo, hay al menos tres empresas afectadas.
Las actividades post-infección incluyeron lograr persistencia, recopilar información y obtener cargas maliciosas adicionales.
¿Deseoso de aprender más sobre cómo mejorar sus contramedidas de seguridad? Únase a la Plataforma de SOC Prime para desbloquear el acceso al mayor conjunto de contenido de detección creado por líderes de la industria y potenciar la eficiencia en su ecosistema de seguridad. SOC Prime, con sede en Boston, EE.UU., está impulsada por un equipo internacional de expertos experimentados dedicados a habilitar la defensa cibernética colaborativa.
